AAA认证&&防火墙&&交换机

AAA认证&&防火墙&&交换机
[TOC]
路由器远程登录

Telnet远程登录端口号是 ==23==- 我们这里用这个拓扑图,原理是一样的
- 就是需要我们自己设置一下,各个路由器接口的IP地址
1.R1路由器<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys R1[R1]interface g0/0/0[R1-GigabitEthernet0/0/0]ip addr 10.1.1.254 24# 配置接口的IP地址[R1-GigabitEthernet0/0/0]dis this# 进入到接口后配置相对应的IP地址[V200R003C00]#interface GigabitEthernet0/0/0 ip address 10.1.1.254 255.255.255.0#return
2.R2路由器<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys R2[R2]inter g0/0/0[R2-GigabitEthernet0/0/0]ip addr 10.1.1.1 24[R2-GigabitEthernet0/0/0]dis this[V200R003C00]#interface GigabitEthernet0/0/0 ip address 10.1.1.1 255.255.255.0#return
'这里都是路由器的基础设置'<R1>display cu# 查看当前设备的所有配置信息[V200R003C00]# sysname R1#..................interface GigabitEthernet0/0/0 ip address 10.1.1.254 255.255.255.0#return-----------------------# 测试设备之间的联通性'路由器同在一个网段,中间用交换机进行了连接,怎么可能ping不同呢'<R2>ping 10.1.1.254 PING 10.1.1.254: 56 data bytes, press CTRL_C to break Reply from 10.1.1.254: bytes=56 Sequence=1 ttl=255 time=150 ms Reply from 10.1.1.254: bytes=56 Sequence=2 ttl=255 time=50 ms Reply from 10.1.1.254: bytes=56 Sequence=3 ttl=255 time=40 ms Reply from 10.1.1.254: bytes=56 Sequence=4 ttl=255 time=50 ms Reply from 10.1.1.254: bytes=56 Sequence=5 ttl=255 time=50 ms# 这里是网管(R2)去ping远程机房(R1)passwd
authentication-mode password:表示 ==仅用密码认证==(不验证用户名)
✅ 核心特点:
- 不验证用户名( 系统根本不会提示你输入用户名 )
- 只验证密码:所有尝试通过
Telnet登录设备的用户,只需输入一个预设的密码即可登录 - ==无需创建本地用户==(比如不用执行 local-user xxx 命令)
'实验目的,我们普通用户(R2)可以通过telnet登录机房服务器(R1)'提问:我们这个telnet应该部署在哪台机器上?当然是R1(远程服务器上面了)1.R1远程服务器配置<R1>sys[R1]user-interface vty 0 4vty:逻辑通道,或者叫做终端0 4 具体代表什么?0:第一个 VTY 线路编号(最小值)4:最后一个 VTY 线路编号(最大值)所以 vty 0 4 表示 同时最多允许 5 个远程用户并发登录(编号 0、1、2、3、4)✅ 类比:就像一家餐厅有 5 个远程包间(VTY 0~4),只要有一个空着,新客人(远程用户)就能进来[R1-ui-vty0-4]authentication-mode ? aaa AAA authentication password Authentication through the password of a user terminal interface# 先来查看认证模式'两种,aaa和password'# 这里我们先介绍password认证模式[R1-ui-vty0-4]authentication-mode passwordPlease configure the login password (maximum length 16):huawei'这里我的密码设置的是:huawei'# 就去之后,默认让你输入密码# 最大长度是16# 默认是cipher(加密的)[R1-ui-vty0-4]dis this[V200R003C00]#user-interface con 0 authentication-mode passworduser-interface vty 0 4 authentication-mode password set authentication password cipher %$%$mF_z"D[",E|_m`.9a)H@,.Az9!B2T|~Uy>;D;F-TV,kC.A},%$%$# 前面关键字cipher,后面是一群乱码'如果是明文的simple,则后面将会显示明文的密码'
2.R2普通用户登录测试<R2>telnet 10.1.1.254 Press CTRL_] to quit telnet mode Trying 10.1.1.254 ... Connected to 10.1.1.254 ...
Login authentication
Password:# 输入密码后,R2(普通用户)就可以连接到R1(远程服务器了)'telnet中的password认证模式中,只需要输入密码即可,不需要输入用户名'<R1># 成功进入到R1<R1>sys ^Error: Unrecognized command found at '^' position.提问:为什么会报错呢?'因为我们在配置服务端的时候,并没有设置用户的权限,默认情况下是参观级别''也就是我们虽然能够telnet登录上去,但是没有权限,也就啥也干不了'
3.回到R1(远程服务器,重新进行配置)<R1>sysEnter system view, return user view with Ctrl+Z.[R1]user-interface vty 0 4[R1-ui-vty0-4]user privilege level 15# 主要是这一条命令,把用户等级设置为15[R1-ui-vty0-4]dis this[V200R003C00]#user-interface vty 0 4 authentication-mode password user privilege level 15 set authentication password cipher %$%$E-NGH^iHVSv:`IC6)1S-,7DDk\O,A{G,jCtLdF~iy~B57DG,%$%$#
4.再次回到R2普通用户进行测试<R2>telnet 10.1.1.254 Press CTRL_] to quit telnet mode Trying 10.1.1.254 ... Connected to 10.1.1.254 ...Login authentication
Password:# 输入密码<R1>sysEnter system view, return user view with Ctrl+Z.[R1]'R2能够成功进入R1,并且能够sys进入系统视图'缺点
安全性较低
弱加密存储,易破解
缺乏用户身份管理
无用户区分,共用一个密码
权限控制能力弱
所有用户拥有相同的权限
AAA认证
- 提供了
认证、授权、计费三种安全功能
1️⃣**认证:**验证用户是否可获得网络访问权
2️⃣**授权:**授权用户可以使用哪些服务
3️⃣**计费:**记录用户使用网络资源的情况

'依旧是R1远程服务器,别人想要远程登录我的服务器,我要进行验证''所以,R1要进行认证,在R1上面进行部署aaa认证'1.R1配置<R1>sysEnter system view, return user view with Ctrl+Z.[R1]user-interface vty 0 4[R1-ui-vty0-4]authentication-mode aaa[R1-ui-vty0-4]local-user redhat password cipher 123 privilege level 15 ^Error: Unrecognized command found at '^' position.# 这里我直接在user-interface vty 视图下输入 local-user....# 然后就进行报错了!!!'看报错信息 “未识别的命令” '提问:为什么不能在user-interface vty视图下输入local-user'local-user 是用来创建“用户账号”的,属于 AAA 系统的一部分''所以只能在 aaa 视图下配置'[R1-ui-vty0-4]q# 所以我们需要先退出user-interface vty视图[R1]aaa# 进入aaa视图[R1-aaa]local-user redhat password cipher 123 privilege level 15Info: Add a new user.'用户名:redhat''密码:123' # 密码类型用的是cipher密文(不可见)'用户等级:15'[R1-aaa]local-user redhat service-type telnet1)指定用户:redhat2)指定分配的服务类型:telnet'下面专门介绍常见的服务类型''当然也可以是ssh,terminal,http/https'[R1-aaa]dis this[V200R003C00]#aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http local-user redhat password cipher %$%$vaW/0g-0VYY\B+@%MEjBLe7F%$%$ local-user redhat privilege level 15 local-user redhat service-type telnet#return
2.R2(普通用户)验证<R2>telnet 10.1.1.254 Press CTRL_] to quit telnet mode Trying 10.1.1.254 ... Connected to 10.1.1.254 ...Login authentication# 成功登录上去了Username:redhat # 用户名Password: # 密码<R1>sysEnter system view, return user view with Ctrl+Z.[R1]'成功进入R1远程服务器,并且能够sys进入系统视图'
3.再次回到R1远程服务器<R1>sysEnter system view, return user view with Ctrl+Z.[R1]user-interface vty 0 4[R1-ui-vty0-4]display users User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag+ 0 CON 0 00:00:00 pass Username : Unspecified
129 VTY 0 00:03:05 TEL 10.1.1.1 pass Username : redhat'在远程服务器R1中,进入到user-interface vty视图,还可以看到那些用户远程登录上去'常见服务类型
✅ 常见的 service-type 类型包括:
| 服务类型 | 含义 | 连接方式 |
|---|---|---|
telnet | 允许通过 Telnet 登录 | 远程连接(明文协议,不安全) |
ssh | 允许通过 SSH 登录 | 远程连接(加密协议,安全) |
terminal | 允许通过 Console 口或本地终端(如串口、Web 网管终端等)登录 | 本地连接 或 带外管理 |
http / https | 允许通过 Web 网管页面登录(部分设备支持) | 远程或本地(取决于访问方式) |
注意:在华为设备中,
terminal通常指 非网络方式的本地终端接入,比如通过Console线连接的终端,或者某些场景下的本地 CLI(如通过 Web 界面打开的“终端”窗口)
连接形式 VS 是否加密
| service-type | 连接性质 | 是否加密 |
|---|---|---|
telnet | 远程 | ❌ 明文 |
ssh | 远程 | ✅ 加密 |
terminal | 本地(Console 或本地终端) | ——(物理连接,无需网络加密) |
📌 ==总结==
service-type必须明确列出用户 允许 使用的登录方式安全建议 :禁用
Telnet,只用SSH+AAA
🔐 http VS https
| 特性 | http | https |
|---|---|---|
| 全称 | 超文本传输协议(HyperText Transfer Protocol) | 安全超文本传输协议(HTTP Secure) |
| 是否加密 | ❌ 明文传输 | ✅ 使用 SSL/TLS 加密 |
| 默认端口 | 80 | 443 |
| 安全性 | 低:数据可被窃听、篡改、冒充 | 高:提供机密性、完整性、身份认证 |
| 浏览器显示 | 地址栏无锁 / 显示“不安全” | 绿色锁图标(若证书有效) |
HTTPS = HTTP + SSL/TLS ,即在
应用层和传输层之间加了一个安全加密层
串口连接

<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys SW1# 进入系统视图后,改名[SW1]user-interface console 0# 进入console视图,并只开放了一个终端来访我[SW1-ui-console0]authentication-mode aaa# 在console视图中,更改认证模式为aaa[SW1-ui-console0]q# 只能在aaa视图下才能够创建用户# 所以必须退出console视图[SW1]aaa# 进入aaa视图[SW1-aaa]local-user redhat password cipher 123Info: Add a new user.'用户名:redhat''密码:123' #隐藏式的密码[SW1-aaa]local-user redhat privilege level 15# 修改用户等级为15[SW1-aaa]local-user redhat service-type terminal# 为指定用户redhat创建服务类型'允许通过本地终端或者console口来连接'[SW1-aaa]# 退出到用户视图保存<SW1>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y# y确认Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:Jan 22 2026 15:03:48-08:00 SW1 %%01CFM/4/SAVE(l)[50]:The user chose Y when deciding whether to save the configuration to the device.Now saving the current configuration to the slot 0.Save the configuration successfully.# 成功保存
👻关闭 交换机 后,重新启动

VRP操作系统基础
VRP 操作系统使用一种类 Unix 的文件系统结构,但与 Linux 并不完全相同
华为设备的文件系统一般称为 Flash 文件系统,主存储介质是
flash:(相当于硬盘)
- 设备启动后,默认根目录是
flash:/
Linux的根目录为/
| 命令 | 功能 | 类似 Linux 命令 |
|---|---|---|
pwd | 显示当前工作目录 | pwd |
dir | 列出当前目录下的文件和子目录 | ls |
cd <目录> | 切换目录 | cd |
mkdir <目录名> | 创建目录 | mkdir |
rmdir <目录名> | 删除空目录 | rmdir |
delete /unreserved <文件名> | 删除文件(/unreserved 表示彻底删除,不进回收站) | rm |
⚠️ 注意:华为设备默认有“回收站”机制,用
delete file不加/unreserved会把文件移到回收站(可用undelete恢复)要彻底删除需加/unreserved🍔
Windows操作系统中 绕过回收站,直接永久删除 文件/文件夹的快捷键是Shift + Delete
'以下操作均运行在< >用户视图中'
1.查看当前路径<SW1>pwdflash:
2.列出当前目录下的文件和子目录<SW1>dirDirectory of flash:/
Idx Attr Size(Byte) Date Time FileName 0 drw- - Aug 06 2015 21:26:42 src 1 drw- - Jan 22 2026 14:57:30 compatible 2 -rw- 529 Jan 22 2026 15:03:56 vrpcfg.zip
32,004 KB total (31,968 KB free)
3.进入目录<SW1>cd src<SW1>pwdflash:/src
4.返回上一级<SW1>cd ..<SW1>pwdflash:
5.查看文件内容more <文件名># 支持翻页,q退出
6.将文件从一个位置复制到另一个位置copy <源> <目标> —— 复制文件'和Linux中的cp命令类似'
7.将文件从一个位置移动到另一个位置,也可以理解为“重命名 + 移动”move <源> <目标> —— 移动文件(重命名+移动)'和Linux中的move命令类似'
8. 重启整个设备,类似于“关机再开机”reboot —— 重启设备内存/存储介质
ROM
(Read-Only Memory,只读存储器)
✅ 特点:
- 非易失性:断电后数据不会丢失
- 只读:不能修改其中保存的内容
- 容量小
🔧 作用:
- 存储 引导程序 ,用于设备上电时进行 硬件自检 和 加载操作系统(如 VRP)
- 如果
系统损坏,设备可从ROM启动到 恢复模式,用于修复或重装系统
📌 类似于 PC机 的
BIOS(也是恢复模式)
RAM
(Random Access Memory,随机存取存储器)
✅ 特点:
-
易失性:断电后内容全部丢失
-
可读可写存储器
读写速度快
-
容量相对较大
🔧 作用:
- 存储正在运行的操作系统(VRP)
- 保存当前运行配置
- 存放 路由表、ARP 表、MAC 地址表、会话状态等动态数据
📌 相当于电脑的“内存条”,是设备运行时的“工作台”
闪存
(Flash Memory)
✅ 特点:
- 非易失性:断电不丢数据
- 可读可写可擦除
- 速度比 RAM 慢,但比传统硬盘快(在嵌入式设备中常作为主存储)
🔧 作用:
- 存储 操作系统镜像文件(如 VRP 软件)
- 可保存多个系统版本(便于回滚)
📌 类似于电脑的“固态硬盘(SSD)”, 但专用于存系统和固件
NVRAM
(Non-Volatile RAM,非易失性 RAM)
✅ 特点:
- 非易失性:断电后配置不丢失
- 可读可写存储器
- 容量很小(通常几 KB 到几 MB)
🔧 作用:
- 专门用于保存 启动配置(startup-config) 或 备份配置文件
- 设备重启时,系统从
NVRAM读取配置并加载到RAM中
对比总结表:
| 存储类型 | 是否断电丢失 | 可读写? | 主要用途 | 类比 |
|---|---|---|---|---|
| ROM | ❌ 不丢失 | 一般只读 | 启动引导程序(BootROM) | BIOS |
| RAM | ✅ 丢失 | 可读写 | 运行系统、临时数据、当前配置 | 内存条 |
| Flash | ❌ 不丢失 | 可读写 | 存储操作系统(VRP)、软件镜像 | 固态硬盘(SSD) |
| NVRAM | ❌ 不丢失 | 可读写 | 保存启动配置(startup-config) | 配置存储区 |
配置文件
导出&导入
✅ 核心结论:
在华为设备上,若要导出**“生效的完整配置”**
- 必须先执行
save命令将当前运行配置保存到启动配置文件(vrpcfg.cfg)中

vrpcfg.zip 文件就是华为设备默认的 启动配置文件 ,它存储在 Flash 中,用于设备重启时加载系统配置
vrpcfg.zip 是一个压缩包,内部包含:
- vrpcfg.cfg:实际的文本配置文件
- 可能还有其他辅助文件(如版本信息、校验等),但核心是 .cfg
然后再从
Flash(闪存)中导出该文件否则,直接导出的配置文件 可能不包含你刚刚修改但未保存的配置



- 对应保存的配置文件

❣️
关机的状态下导入配置文件
数据传输
| 类型 | 传输方向 | 能否同时收发 | 典型应用 | 是否需要冲突检测 |
|---|---|---|---|---|
| 单工 | 单向 | ❌ | 广播 | 否 |
| 半双工 | 双向,交替 | ❌ | 对讲机、Hub 以太网 | 是(如 CSMA/CD ) |
| 全双工 | 双向,同时 | ✅ | 电话、Switch 以太网 | 否 |
CSMA/CD 是一种用于早期以太网(特别是共享介质的局域网)中的 介质访问控制(MAC)协议
🏇基本原理:CSMA/CD 的核心思想是 先听后发,边发边听,冲突停发,随机重发
🏭具体步骤如下:
载波监听
在发送数据前,节点会先侦听信道是否空闲
如果信道正在被其他设备使用(即检测到载波信号),则等待一段时间再尝试
多路访问
所有节点共享同一个通信介质(如
同轴电缆或集线器连接的网络)可以在信道空闲时尝试发送数据。
冲突检测
由于信号传播存在延迟,两个节点可能几乎同时开始发送数据,导致冲突(碰撞)
CSMA/CD 要求节点在发送数据的同时 持续监听信道
一旦检测到冲突,立即停止发送,并发送一个拥塞信号,通知其他节点发生了冲突
退避与重传
发生冲突后,每个节点会等待一个
随机时间后再重新尝试发送这样可以减少再次冲突的概率
♥️ 重点如下 :
CSMA/CD运行模式是: 半双工
交换机运行模式是: 全双工
交换机

MAC地址
- 也称为
物理地址或硬件地址,每个MAC地址在全球是唯一的 - 它用于在
数据链路层识别网络设备
🔩格式:
通常由 6 个字节( 48位 )(1字节=8位)组成,用 十六 进制表示
- 1 字节(Byte) = 8 位(bit)
| 部分 | 位数 | 说明 |
|---|---|---|
| OUI(Organizationally Unique Identifier) | 前 24 位(3 字节) | 由 IEEE 分配给厂商,标识设备制造商 |
| NIC Specific(网卡标识) | 后 24 位(3 字节) | 由厂商自行分配,保证全球唯一 |
例如:
00:1B:44:11:3A:B7
-
00:1B:44 是 OUI(代表某厂商,如 Dell)
可通过 IEEE OUI 查询工具 查询厂商
-
11:3A
是该厂商分配的唯一编号
8421,一个16进制的数代表4位
一共48位,可以由
12个十六进制数进行表示常见格式如:00:1A:2B:3C:4D:5E 或 00-1A-2B-3C-4D-5E
- 001E-10DD-DD02( 在实验中用4位 )
第 8 位
即第一个字节的最低有效位 LSB 的特殊含义
MAC 地址的 第一个字节( 第 8 位) 中,第 8 位( 最右边一位 ) 有特殊用途:
| 第 8 位(bit 0) | 含义 |
|---|---|
| 0 | 单播地址(Unicast) —— 发送给单一设备 |
| 1 | 组播地址(Multicast) —— 发送给一组设备 |
例如:第一个字节为 01(十六进制) = 0000 0001(二进制),则 bit 0 = 1 → 组播
ipconfig /all Windows查看它的物理地址

基本功能

-
交换机工作在
数据链路层三层交换机就是具有了路由功能的交换机 -
交换机里面有一个 MAC地址表 ,没有ARP缓存表
ARP缓存表存的是IP地址和MAC地址的映射- 记录的是“哪个 MAC 地址出现在哪个端口”
- 交换机设备具有
MAC地址学习功能 MAC地址和端口之间的映射,用于转发数据帧
泛洪(Flooding)
- 将某个接口收到的数据流从
除该接口之外的所有接口发送出去
主要过程如下:
-
交换机根据收到数据帧中的
源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中 -
交换机将数据帧中的
目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发 -
如数据帧中的
目的MAC地址不在MAC地址表中,则向所有端口转发这一过程称为 泛洪(flood)
当主机
A发送一个 ARP 请求(广播帧),交换机会把它泛洪到所有端口(除了接收端口)这个请求包含
源IP地址和MAC地址,还有目的IP地址,询问对应的MAC地址主机
B收到后,发现是找自己的 IP,就回一个ARP 应答(单播帧)交换机看到这个帧的
源MAC,就学习到B 的 MAC在哪个端口这是
MAC表,不是ARP表!
🍔什么是 广播风暴 ?
广播风暴 是指网络中,大量 广播帧 被无限制地重复转发,导致带宽耗尽、设备 CPU 过载,甚至 网络瘫痪 的现象
防火墙&云综合实验

创建网卡





云

- 刚开始,打开这个
云并没有识别到这张网卡,我是重新启动电脑后,才识别到了

- 至此
云的配置结束
防火墙


- 进去的时候要导一个包
Username:adminPassword:'默认用户名admin''默认密码:Admin@123'The password needs to be changed. Change now? [Y/N]: y# y修改密码Please enter old password:Please enter new password:Please confirm new password:# 重复输入相同的密码 Info: Your password has been changed. Save the change to survive a reboot.************************************************************************** Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. ** All rights reserved. ** Without the owner's prior written consent, *'* no decompiling or reverse-engineering shall be allowed. **************************************************************************
<USG6000V1>sysEnter system view, return user view with Ctrl+Z.[USG6000V1]un info enInfo: Saving log files...Info: Information center is disabled.# 先关闭推送信息[USG6000V1]interface g0/0/0# 进入到管理口g0/0/0[USG6000V1-GigabitEthernet0/0/0]dis this2026-01-22 10:38:59.340#interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default ip address 192.168.0.1 255.255.255.0 # 里面默认有一个IP地址 alias GE0/METH#return[USG6000V1-GigabitEthernet0/0/0]undo ip add# 把里面的默认IP地址删除了[USG6000V1-GigabitEthernet0/0/0]dis this2026-01-22 10:39:07.420#interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default # 删除后,就没有了 alias GE0/METH#return[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.112.128 24# 这个ip地址得和我们新添加的网卡,处于同一网段[USG6000V1-GigabitEthernet0/0/0]dis this2026-01-22 10:39:31.240#interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default ip address 192.168.112.128 255.255.255.0 # 成功配置号IP地址 alias GE0/METH#return[USG6000V1-GigabitEthernet0/0/0]service-manage https permit[USG6000V1-GigabitEthernet0/0/0]service-manage http permit'开启http和https服务'# 后面我们要访问防火墙的web页面

E口vsF口vsG口
物理接口与传输速率的区别
| 接口类型 | 全称 | 中文名 | 默认速率 | 常见命名(eNSP中) | 是否常见 |
|---|---|---|---|---|---|
| E口 | Ethernet | 以太网口 | 10 Mbps | Ethernet0/0/1 或 E0/0/1 | 已基本淘汰,仅在老旧设备或教学模拟中出现 |
| F口 | FastEthernet | 快速以太网口 | 100 Mbps | FastEthernet0/0/1 或 F0/0/1 | 小型设备仍有使用 |
| G口 | GigabitEthernet | 千兆以太网口 | 1000 Mbps(1 Gbps) | GigabitEthernet0/0/1 或 G0/0/1 | 现代设备主流接口 |
✅ 结论:
- G口比E口快100倍(1G vs 10M),实际部署中E口几乎不用
- 在 华为eNSP中 ,二层交换机(如S3700)可能同时有 E口(教学用途)和G口(上联口)
- 而 路由器(如AR2220)通常只配G口 ,因为要承担
高速转发和广域互联✅“E口”本身不一定是10Mbps,它指的是以太网接口,==支持多种速率== (如 10/100/1000 Mbps)
这个
接口的实际工作速率取决于两端设备的能力以及是否开启自动协商❤️ 这里重点在于,E口一般工作在二层及以下,G口一般在三层工作
联系
虽然 接口类型 不同,但它们都遵循 IEEE 802.3以太网标准 ,可以互相连接
-
交换机G口 ↔ 路由器G口:最常见,千兆互联,用于上联或服务器接入
-
交换机E口 ↔ 路由器G口:理论上可以(自协商),但因E口仅10M,会成为瓶颈,不推荐
💡 实践建议:
在eNSP实验中,统一使用G口互联(如 G0/0/1 ↔ G0/0/0),避免速率不匹配问题
小结
| 维度 | 交换机(二层) | 路由器 |
|---|---|---|
| 典型端口 | 可能含 E/F/G 口(E口多为教学) | 几乎全是 G 口(高速需求) |
| 工作层次 | 数据链路层(L2) | 网络层(L3) |
| 转发依据 | MAC 地址 | IP 地址 |
| 互联目的 | 同一网段内通信 | 不同网段间通信 |
| 速率要求 | 接入层可百兆,上联需千兆 | 通常千兆起步,保障路由性能 |
✅ 一句话记住核心 :
交换机管“局域网内怎么发”(MAC)
路由器管“跨网络怎么走”(IP)G口是现代网络的通用高速接口,E口已是历史遗迹
以太网帧格式

以太网帧属于 数据链路层(MAC层) 的封装单位,其结构如下:
[前导码] + [帧开始定界符] + [目的MAC] + [源MAC] + [类型] + [数据] + [FCS]
⚠️ 注意:
前导码和帧开始定界符不计入“帧”本身,而是用于物理层同步
各字段详解
| 字段 | 长度 | 说明 |
|---|---|---|
| 前导码(Preamble) | 7字节 | 由 101010... 组成,用于接收方同步时钟,不包含在帧头中 |
| 帧开始定界符(SFD) | 1字节 | 固定为 11111110,表示帧开始 |
| 目的MAC地址 | 6字节 | 接收设备的硬件地址(MAC),广播为 FF:FF:FF:FF:FF |
| 源MAC地址 | 6字节 | 发送设备的MAC地址 |
| 类型(Type) | 2字节 | 表示上层协议类型: • 0x0800 → IPv4 • 0x0806 → ARP • 0x86DD → IPv6 |
| 数据(Data) | 46 ~ 1500 字节 | 封装上层协议数据(如IP包) • 最小46字节:若不足则填充(Padding) • 最大1500字节:即 MTU = 1500B |
| FCS(帧校验序列) | 4字节 | CRC校验值,用于检测传输错误 |
IEEE 802.3 vs Ethernet II
| 特性 | IEEE 802.3(原始) | Ethernet II(常用) |
|---|---|---|
| 类型字段 | 用“长度”表示 | 用“类型”表示 |
| 是否支持 | 被淘汰 | 广泛使用 |
| 识别方式 | 长度字段 < 1500 → 为长度;≥1500 → 为类型 | 始终是类型字段 |
- 注意识别区分的方法,大于还是小于 1500
✅ 实际中我们看到的是 Ethernet II 格式,也就是上面这种图
文章分享
如果这篇文章对你有帮助,欢迎分享给更多人!



